Pare-feu kerio provoque arrêt Runetime

Résolu
petit papa Noêl Messages postés 10 Statut Membre -  
 didier17240 -
Bonjour à tous,

J'apprécierais que vous preniez quelques minutes de votre temps pour m'aider svp !

Depuis 2 semaines je me bat contre des méchants qui m'attaquent...
virus puis "sasser" etc...
J'ai scrupuleusement suivi les judicieux conseils dispensés sur ce site.

Je touche au but mais....après avoir installé le pare-feu Kerio, un nouveau problème s'est manifesté.(Comme si j'avais besoin de cela!).
À toutes les 5 minutes une fenêtre intitulée "Microsoft Visual C++ runtime library" apparait indiquant que des applications du pare-feu (assist.exe et sms5.exe) a provoqué la fermeture de Runtime...?

Pourriez-vous m'instruire en me disant à quoi sert Runtime et surtout comment règler ce problème ?

Merci
Un ami du Canada

Pierre alias petit papa Noël
Configuration: Windows XP
Internet Explorer 6.0

12 réponses

  1. Utilisateur anonyme
     
    Salut

    t'es encore infecté :-/

    Télécharge HijackThis:
    --->hijackthis
    Installe le dans son propre dossier:
    -clique droit sur le bureau, choisis "nouveau dossier" puis installe le dedans.
    Lance le, clique sur "do a system scan and save logfile"
    Puis copie et colle le rapport ici stp
    0
  2. petit papa Noêl Messages postés 10 Statut Membre
     
    Merci de ta générosité ,
    voici le rapport : (enfin je crois...)

    Logfile of HijackThis v1.99.1
    Scan saved at 09:21:19, on 2006-12-16
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\SMS5.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Spyware Doctor\sdhelp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Pierre\Bureau\Nouveau dossier\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ici.radio-canada.ca/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [AdobeReaderPro] SMS5.exe
    O4 - HKLM\..\RunServices: [AdobeReaderPro] SMS5.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [AdobeReaderPro] SMS5.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://chipmunk.uvm.edu/webcam/AxisCamControl.ocx
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
    O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

    p.s. j'ai AVG (anti-virus qui supprime des virus environ 1 par jour),stinger (qui trouve et supprime des menaces à interval rég.), Fxsasser(qui ne trouve jamais rien)

    Merci encore

    Pierre
    0
  3. Utilisateur anonyme
     
    Salut

    Fait ceci :

    ¤ Télécharge Killbox:
    http://www.killbox.net/downloads/KillBox.exe

    Double clique sur killbox.exe (Pocket Killbox)

    - coche: delete on reboot
    dans la barre vide entre ceci: (exactement)

    C:\WINDOWS\System32\SMS5.exe

    - clique sur le rond rouge avec la croix blanche
    - une fenêtre va apparaître pour confirmation cliques sur "YES"
    - une seconde fenêtre te demande si tu veux redémarrer cliques sur "YES"

    Laisse le pc redémarrer s'il ne redémarre pas de lui même alors fait le.

    ¤ Fait ce nettoyage: (à faire réguliérement)

    ¤Telecharge et installe CCleaner (n'installe pas la barre d'outil Yahoo)
    ---> Ccleaner

    dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
    Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

    ¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"

    Si tu as besoin d'aide pour Ccleaner, regarde ce tutoriel:
    http://www.tutopat.com/viewtopic.php?t=305

    ¤ Télécharge, installe puis met à jour ce logiciel(Ewido), une fois que c'est fait, fais un scan complet de ton système, supprime (delete) tout ce qu'il te trouve puis colle le rapport ici stp
    Ewido: (en Anglais reste gratuit après la période d'essai)
    --->Ewido
    Si tu as besoin d'aide avec Ewido(devenu AVG-antispyware) regarde ce tutoriel:
    http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html
    1
  4. petit papa Noêl Messages postés 10 Statut Membre
     
    Est-ce que ce "SMS5.exe" est un fichier légitime de windows ?

    Merci

    Pierre

    p.s. Par curiosité, voudrais tu me dire où tu es ?

    Moi je suis de Montréal , Canada
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Bah non ! si non je te le ferais psa supprimer lol

    Je suis dans l'arc antillais ;-)
    0
    1. petit papa Noêl Messages postés 10 Statut Membre
       
      Salutations !

      J'ai finalement réussi à trouver le temps de mener le combat.

      J'ai suivi les étapes que tu m'as indiqué.

      Je n'ai pas été capable de copier le rapport du scan de AVG.Il me proposait d'exporter le résultat mais sous forme ".prn" ou autre extensions bizz.

      J'ai (à nouveau) détecté et supprimé le virus suivant
      Trojan IRC/BackDoor.SdBot2.KWD

      Il était dans le fichier suivant

      Malgré tout ce que je fais, il revient contamment.

      Une réinfection ?
      Où il est dormant qqpart sur mon pc ?

      Merci à nouveau de ton aide.

      Pierre

      C:/WINDOWS/system32/.exe
      0
  7. Utilisateur anonyme
     
    Salut

    Regarde dans le pare-feu Kerio et supprime toutes les lignes qui te sont étrangéres dans l'onglet "sécurité du réseau"

    Télécharge ComboFix
    http://download.bleepingcomputer.com/sUBs/combofix.exe

    Ferme ton navigateur web avant d'exécuter ce programme
    Double-clique dessus et appuye sur "Y" pour continuer

    Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le ici stp
    0
    1. petit papa Noêl Messages postés 10 Statut Membre
       
      Voila c'est fait.

      Pour ce qui est des lignes à supprimer avec le pare-feu ... j'avoue être un peu perdu.
      Sous l'onglet "sécurité du réseau" il y a 4 autres "onglets"
      Parles-tu de "application", "zone sécurisée" ou d'un des 2 autres ?

      Dans zone sécurisé, j'ai 2 connexion dont une identifiée Loopback 127.0.0.1 (inscrit N/A sous "matériel" et la seconde identifiée "connexion au réseau local"

      Est-ce normal ? Laquelle supprimer ?


      voici le log

      ComboFix 06.11.27 - Running from: "C:\Documents and Settings\Pierre\Bureau"

      ((((((((((((((((((((((((((((((( Files Created from 2006-11-17 to 2006-12-17 ))))))))))))))))))))))))))))))))))


      2006-12-17 18:55 <REP> dr-h----- C:\Documents and Settings\Pierre\Recent
      2006-12-17 18:24 <REP> d-------- C:\!KillBox
      2006-12-17 17:59 <REP> d-------- C:\Program Files\CCleaner
      2006-12-16 11:22 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
      2006-12-15 16:27 <REP> d-------- C:\Program Files\Sunbelt Software
      2006-12-10 16:51 0 --a------ C:\WINDOWS\system32\winds.exe
      2006-12-07 21:30 <REP> d-------- C:\WINDOWS\Prefetch
      2006-12-07 21:17 173,056 --a------ C:\WINDOWS\system32\LXAESUI.DLL
      2006-12-07 21:09 96,256 --a------ C:\WINDOWS\system32\wuaueng.dll
      2006-12-07 21:09 114,688 --a------ C:\WINDOWS\system32\wuauclt.exe
      2006-12-07 21:07 23,070 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
      2006-12-07 21:01 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
      2006-12-07 21:01 13,312 --a------ C:\WINDOWS\system32\irclass.dll


      (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


      2006-12-17 15:34 -------- d-------- C:\Program Files\Spybot - Search & Destroy
      2006-12-16 11:22 -------- d-------- C:\Program Files\Spyware Doctor
      2006-12-09 08:14 -------- d-------- C:\Program Files\Windows Media Player
      2006-12-08 15:56 -------- d-------- C:\Program Files\Java
      2006-12-07 21:34 -------- d--h----- C:\Program Files\WindowsUpdate
      2006-12-07 21:09 -------- d-------- C:\Program Files\Messenger
      2006-11-11 11:52 -------- d-------- C:\Program Files\EditHexa
      2006-11-05 20:46 -------- d-------- C:\Program Files\ToniArts
      2006-11-01 18:59 278528 --a------ C:\WINDOWS\system32\livesnth.dll


      (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

      *Note* empty entries are not shown

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
      "ctfmon.exe"="C:\\WINDOWS\\System32\\ctfmon.exe"
      "AdobeReaderPro"="SMS5.exe"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
      "AdaptecDirectCD"="C:\\Program Files\\Adaptec\\Easy CD Creator 5\\DirectCD\\DirectCD.exe"
      "iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
      "QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
      "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
      "AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
      "TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
      "IMJPMIG8.1"="C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
      "MSPY2002"="C:\\WINDOWS\\System32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
      "PHIME2002ASync"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
      "PHIME2002A"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
      "AdobeReaderPro"="SMS5.exe"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
      "Installed"="1"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
      "Installed"="1"
      "NoChange"="1"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
      "Installed"="1"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
      "AdobeReaderPro"="SMS5.exe"

      [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
      "DeskHtmlVersion"=dword:00000110
      "DeskHtmlMinorVersion"=dword:00000005
      "Settings"=dword:00000001
      "GeneralFlags"=dword:00000001

      [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"
      "Flags"=dword:00000002
      "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
      00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
      "CurrentState"=hex:04,00,00,40
      "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
      ff,ff,04,00,00,00
      "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
      00,00,01,00,00,00

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
      "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
      "Spyware Doctor"=""
      "AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
      "AdobeReaderPro"="SMS5.exe"

      [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
      "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
      "Spyware Doctor"=""
      "AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
      "AdobeReaderPro"="SMS5.exe"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
      "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
      "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
      "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoDriveTypeAutoRun"=dword:00000091

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "dontdisplaylastusername"=dword:00000000
      "legalnoticecaption"=""
      "legalnoticetext"=""
      "shutdownwithoutlogon"=dword:00000001
      "undockwithoutlogon"=dword:00000001

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "NoDriveTypeAutoRun"=dword:00000091
      "CDRAutoRun"=dword:00000000

      [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
      "NoDriveTypeAutoRun"=dword:00000091
      "CDRAutoRun"=dword:00000000

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
      "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
      "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
      "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
      "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
      "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll"

      Completion time: 06-12-17 21:16:40.21
      C:\ComboFix.txt ... 06-12-17 21:16


      merci encore

      Pierre
      Merci
      0
  8. Utilisateur anonyme
     
    ¤ Clic sur démarrer, rechercher, cherche et supprime ces fichiers si présents:

    - winds.exe
    - SMS5.exe

    ** Si un fichier persiste lors de la suppression fait ceci:
    -Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisit "mode sans echec" attends un peu.. puis va supprimer les fichiers/dossiers, vide ta corbeille et redémarre ton PC normalement

    Pour Kerio, dans "sécurité du réseau" puis l'onglet "applications" puis c'est là que je te demande de tout supprimer ;-)

    Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clique dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
    Une fois qu'il a terminé colle le rapport ici stp

    https://www.bitdefender.com/toolbox/

    A++
    0
    1. petit papa Noël
       
      Bon,
      les deux fichiers sont supprimés.

      J'ai commencé le scan avec Bitedefender mais après un début "rapide" il semble avoir bloqué sur qqchose et progressait très lentement.
      Le temps restant est passé progressivement jusqu'à 2h30 et ça continuait de monter...?
      J'ai donc stopper en attendant de t'en parler.
      Pour ce quie est du pare-feu, j'ai une dizaine d'application identifiée sous cet onglet (AVG, Internet Explorer et plusisuer microsoft activesync , un win logon )

      Est de la cochonnerie ?
      Est-ce que je les supprime tous ?
      et surtout est-ce que le fait de les supprimer va empêcher mon pc de se connecter au net par après ?

      p.s. Je remarque à l'occasion (grace au pare-feu) qu j'ai un "traffic entrant de 1 a 3 Ko/sec même si je ne suis pas en train de naviguer ?

      Est-ce un signe que je suis en train de me faire pirater ?

      Merci
      Désolé si j'ai bcp de questions mais j'essais de comprendre...
      0
  9. Utilisateur anonyme
     
    Non, rien de ce que tu cites sont des virus, ce sont des applications donc à ne pas supprimer

    Le scan peut-être long tout dépend si ton PC est très rempli ou non.
    Ne pas tenir compte du temps ça peut se réduire, ça fait le yoyo
    0
    1. petit papa Noêl Messages postés 10 Statut Membre
       
      Salut !

      J'ai posté une réponse mais je crois que je me la suis envoyée...
      Au cas où tu ne l'aurais reçue, elle au forum message no.12

      Merci

      Pierre
      0
  10. petit papa Noël
     
    Salut à toi !

    J'ai fais le scan complet avec Bitedefender. (finalement cela a pris 1h50)
    Au premier scan (partiel), il avait détecté et détruit un virus.
    Aucun lors du second.

    Je te met ci-bas le log de Hijackthis.
    Crois-tu que je sois encore infecté par le vers SdBot machin ?

    Y a-t-il une façon de vérifier si ma connexion est "partagée" avec qqun d'autre ? (en vérifiant le traffic entrant ? Est-ce normal qu'il y en ait si je ne surf pas sur le net mais que IE est ouvert ?)

    Merci

    Pierre

    Logfile of HijackThis v1.99.1
    Scan saved at 18:15:10, on 2006-12-18
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Spyware Doctor\sdhelp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\Documents and Settings\Pierre\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ici.radio-canada.ca/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [AdobeReaderPro] SMS5.exe
    O4 - HKLM\..\RunServices: [AdobeReaderPro] SMS5.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [AdobeReaderPro] SMS5.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://chipmunk.uvm.edu/webcam/AxisCamControl.ocx
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
    O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
    0
  11. Utilisateur anonyme
     
    recommence une recherche et dis moi si tu retrouves :

    - SMS5.exe

    Puis cherche et supprime ceux là :

    - SMS5.dll
    - SMS5Key.dll
    - SMS5_hook.dll

    "Y a-t-il une façon de vérifier si ma connexion est "partagée" avec qqun d'autre ? (en vérifiant le traffic entrant ? Est-ce normal qu'il y en ait si je ne surf pas sur le net mais que IE est ouvert ?)"

    Oui, c'est normal, vérifie le pare-feu que tu n'as pas des choses inconnu ça sera l aseule façon de savoir si tu partages ta connexion (je doute très fort ;-) )
    0
    1. petit papa Noël
       
      Voilà qui est fait.

      Rien à signaler.

      Bilan des opérations :

      Mon pare-feu ne fait plus planter Runtime.
      Je ne semble plus infecté par Sasser ou un autre du genre qui me donnait une minute pour sauvegarder et qui rebootait
      Mon AVG ne détecte plus rien (ni la myriade de logiciels de détection que j'ai téléchargé et qu j'utiliserai régulièrement)

      Je voudrais remercier boulepate pour sa gentillesse et sa patience.
      Un forum comme celui-ci est tout à fait extraordinaire.

      Merci à tous ceux qui le rendent possible.

      Au revoir en souhaitant que mon problème soit réellement résolu.

      Only time will tell !

      Pierre
      0
  12. Utilisateur anonyme
     
    Salut petit papa Noël

    De rien ;-)

    A plus tard peut-être
    0
  13. didier17240
     
    Bonjour a tous les costauds de l' info!
    Je ne peux plus ouvrir messenger!
    dès que je clic dessus un message apparait:

    Runetime Error
    Programm:c:\Programm Files\MSN Messenger\msnmsgr.exe
    R6025
    -purevirtual fonction call

    J' ai desinstalé messenger deux fois et je l' ai re telechargé mais c' est pareil!
    Avast a rien trouvé non plus!

    Les back up non plus...

    Merçi les docteurs si vous avez une solution pour terrasser ce message et sauver messenger!
    Didier
    0